Den nya Dataskyddsförordningen ställer många krav – vad är läget i svenska organisationerna?

Författare: Regina Rasmanis, Ammi Södergård & Per Ditzinger 

Stockholm mars 2018

Bakgrund

Olingo Consulting har under 2017 och 2018 genomfört ett 40-tal analyser på hur väl kraven i den nya Dataskyddsförordningen uppfylls. Organisationerna har varit olika i sin karaktär, både utifrån storlek och bransch. Mindre bolag, globala koncerner och offentlig sektor. Genom kartläggning, workshops och intervjuer har vi bildat oss en uppfattning om organisationens situation. Tillsammans med kunden har vi kartlagt nuläget mot kraven i den nya förordningen samt tagit fram åtgärdsplaner. I denna artikel ger vi vår syn på läget.

Övergripande slutsats

Den generella slutsatsen är att de flesta organisationer har en lång väg att gå innan samtliga krav kan anses uppfyllda. De flesta organisationer har påbörjat arbetet för sent och har underskattat omfattningen av de insatser som krävs. Längst väg att vandra har de organisationer som inte har tagit PUL på tillräckligt stort allvar. Det positiva är att de organisationer som har påbörjat arbetet ser stora bonuseffekter av de insatser och det ”uppstädningsarbete” som nu genomförs.

De specifika områdena

Ansvaret

Organisationens ansvar, på engelska accountability, är utan tvekan en av de mest centrala delarna av gdpr och ett område som, utan tvekan, kommer utsättas för revision. Det måste i ledningssystemet vara glasklart hur organisationen uppfyller kraven samt vilka funktioner och roller som är ansvariga. Utöver att tillsätta roller ligger utmaningen i att säkerställa att de personer som tilldelas en roll har de förutsättningar, i form av kompetens, tid och mandat, som krävs. Eftersom förmågan, i de flesta fall, inte redan finns i organisationen måste den byggas upp. Oftast genom en kombination av utbildning och rekrytering.

Att ha kontroll på de risker som kan uppstå samt lämpliga åtgärder för att säkerställa en bra säkerhetsnivå kring behandlingarna är ett uttalat krav i förordningen. Detta innebär att alltid utföra bedömningar av risker på behandlingar som ska påbörjas eller ändras (konsekvensbedömning, integritet som standard och inbyggd integritet) samt på behandlingar som redan utförs (risk- och kontinuitetshantering). Ovanstående bedömningar måste även göras i samband med köp av system och programvaror. Detta görs idag i stort sätt inte alls hos många organisationer.

Policies och processer

Styrdokument/instruktioner/processer finns redan så en av utmaningarna är att förstå hur gdpr ska ”kilas in” i existerande policies samt hur man säkerställer att de blir heltäckande, utan att bli överlappande. En annan utmaning är att kommunicera och förmedla det som är framtaget.

Ett område där det, i de flesta fall, helt saknas processer och riktlinjer är kring hantering av gdpr-relaterade incidenter samt begäran om att få ut personuppgifter eller att bli glömd. Ett annat problemområde är att, på ett samlat sätt, hantera behörigheter vid till exempel nyanställning, avslutad anställning eller byte av roll. Behörighetsmatriser är ovanliga.

Tydliga ansvarsfördelningar och uppföljning av styrdokument och processer saknas ofta. Det gör det svårt att veta när uppföljning ska göras, vem som ska utföra uppföljningen, vad ska göras och vart resultatet ska skickas.

Data och IT

Kunskapen om var och hur man hanterar persondata är, av naturliga skäl, begränsad. De dataregister som nu byggs upp och som sammankopplar processer med data och system byggs upp från grunden. Det kräver ett strukturerat tillvägagångssätt och en god detektivförmåga. Nästan alla organisationer har idag delar av sin IT hos en extern leverantör vilket ställer ytterligare krav på kontroll men också tydliga avtal med tillhörande instruktioner som täcker in hantering av personuppgifter. Här ligger både leverantörer och beställare efter. Det pågår otaliga dialoger om ansvarsfördelning och rutiner kring säkerhet. Det föreligger också svårigheter att, i större koncerner och förbund, besluta om vem som är ansvarig och vem som är biträde.

Det finns en kultur som inbjuder till att hamstra information och att lagra långt mycket mer information än man behöver eller för den delen har laglig rätt till. Många organisationer saknar en tydlig process eller rutin för att kontinuerligt gallra sin information. De flesta praktiserar ”rensa när det är fullt”. Här har heller inte systemleverantörerna hängt med. Konsekvensen är att många applikationer kräver mer information än nödvändigt. Äldre organisationer har även stora problem med sina fysiska arkiv som under åren blivit styvmoderligt behandlade och i princip aldrig rensats.

Förståelse och kompetens

Policies och processer blir meningslösa om personalen inte känner till dessa eller följer dem. Detta område är synnerligen underskattat. Nyckeln är att anpassa utbildningar och kommunikation utifrån de roller som finns i organisationen. Till exempel, i en livsmedelsbutik måste personalen i kassan första hur gdpr är relevant från deras perspektiv likaväl som de som sitter i en intern stödfunktion måste förstå vad som gäller för deras arbete.

Slutsats

Även om många organisationer inte kommer uppfylla varje krav som ställs innan 25:e maj så blir det ändå viktigt, av flera skäl, att ha kommit så långt som möjligt samt kunna påvisa en handlingsplan för att nå hela vägen. Dels utifrån ett revisionsperspektiv men även utifrån ett förtroendeperspektiv, både från kunder och anställda. Dessutom finns det förstås mycket att vinna, rent affärsmässigt, på att få koll på sina processer, persondata samt skapa ordning och reda i organisationen. Det krävs rejäla insatser och mycket fokus men för de som tar uppgiften på allvar så kommer uppskattningen bli stor, både från kunder, personal samt integritetsskyddsmyndigheten.

Per Ditzinger, verksamhetskonsult per.ditzinger@olingo.se

Ammi Södegård, Verksamhetskonsult ammi.sodergard@olingo.se

                                    Regina Rasmanis, VD regina.rasmanis@olingo.se

Dela på facebook
Dela på twitter
Dela på linkedin